Virtueel Cloud Netwerk

Wat is een Virtueel (Cloud) Netwerk

Cloud aanbieders bieden ook een virtueel cloud netwerk aan. Dit is een netwerk dat volledig is afgeschermd van andere netwerken. Het is een abstractie van een volledig fysiek netwerk, aangeboden als een geïsoleerd virtueel netwerk. Dit betekent dat er controle is over de private IP range (192.168.x, 10.x.x.x, enz), routing, en DNS, vergelijkbaar met VLANs bij traditionele on-premise architectuur.

Dit virtuele cloud netwerk laat toe om volledige private netwerken op te zetten in de cloud, die niet rechtstreeks toegankelijk zijn vanaf het internet. Typisch wordt dan een VPN opgezet naar het netwerk van de organisatie, zodat de organisatie kan communiceren met de cloud resources, maar deze toch afgeschermd zijn van het internet.

Het is ook mogelijk om een privaat netwerk op te zetten, met reverse proxies/loadbalancers in het publiek gedeelte, zodat het netwerk gedeeltelijk publiek beschikbaar is, voor bijvoorbeeld webapplicaties.

In beide gevallen is het mogelijk om firewalls te configuren via de web UIs of via de SDKs om controle uit te oefenen op het inkomend en uitgaand dataverkeer.

Nieuwe accounts aangemaakt op AWS hebben standaard dit virtueel cloud netwerk (VPC in AWS, Virtual Private Cloud). De niet-geïsoleerde netwerkconfiguratie in AWS noemt EC2-Classic, maar is niet meer beschikbaar voor nieuwere klanten. Microsoft Azure’s tegenhanger van VPC is Virtual Networks.

Voorbeeld

Hieronder is een Amazon VPC weergegeven dat een privaat en publieke subnet heeft, waarbij het private subnet toegankelijk is met een VPN en het publieke subnet alleen een loadbalancer heeft om webserver verkeer door te laten:

_images/vpc.png

Er zijn verschillende mogelijke oplossingen om een privaat subnet te maken en alleen toegang toe te staan voor het netwerk van een organisatie. Omgekeerd is het ook mogelijk om alleen publieke services te hebben. Alle cloud providers ondersteunen zowel dynamische als vaste publieke IP addressen en ipv6. VPNs kunnen opgezet worden as a service of door eigen VPN software te installeren.

Het is mogelijk om in verschillende datacenters zowel een publiek als een privaat subnet te hebben. Applicaties kunnen beschikbaar gemaakt worden in verschillende subnets in twee (of meerdere) datacenters. In het geval een datacenter down gaat, blijft de applicatie beschikbaar. Hetzelfde kan bereikt worden met databases. Relationele databases gebruiken vaak een Master en Standby opstelling. In dat geval kan de Master in 1 datacenter staan in een privaat subnet en een Standby in een 2e datacenter in een ander privaat subnet.

Amazon spreekt hier over Availability Zones (AZs). Een regio kan verschillende AZs hebben, en elke AZ is een volledig onafhankelijk datacenter. Een VPC in Amazon is een netwerk in 1 regio, dat de verschillende AZs bevat. Om dit duidelijk te maken wordt hieronder een diagram van een VPC weergeven:

_images/vpc-2.png _images/contact-in4it.png